[English]Sicherheitforscher haben in dem häufig in Fahrzeugen eingesetzten GPS-Tracker MV720 von MiCODUS sechs gravierende Sicherheitslücken aufgespürt. Den Sicherheitsforschern ist es gelungen, die Tracker zu hacken, so dass die Standortdaten der Fahrzeuge durch Dritte überwacht werden konnten. Und die Angreifer wären sogar in der Lage, die Fahrzeuge remote über die Geräte über die Diebstahlsschutzfunktion zu stoppen. Der Hersteller wurde zwar informiert, wollte das Problem aber nicht beheben. Die US-CISA warnt vor den Geräten – Nutzern wird der Ausbau wegen der Sicherheitsrisiken empfohlen.
Anzeige
MiCODUS und der GPS-Tracker MV720
MiCODUS ist eine Firma, die in Shenzhen, Guangdong, China, beheimatet ist. Der Hersteller hat sich auf die Fertigung von Kfz-Elektronik und -Zubehör samt GPS-Trackern spezialisiert. Bisher sollen 1,5 Millionen GPS-Ortungsgeräte bei 420.000 Kunden (darunter Regierungen, Militär, Strafverfolgungsbehörden und Unternehmen) im Einsatz ein. Beim GPS-Tracker MV720 handelt es sich um ein älteres Modell, welches zur Überwachung in Fahrzeugen, Booten oder anderen Geräten (Baumaschinen) etc. eingebaut wird. Der MiCODUS MV720 bietet Diebstahlsicherung, Kraftstoffabschaltung, Fernsteuerung und Geofencing.
Obiges Foto zeigt den Tracker, der in das Fahrzeug eingebaut werden kann. Er überwacht die Fahrzeugposition per GPS-Signal und die Einheit lässt sich per Smartphone kontrollieren. Bei einem Diebstahl des Fahrzeugs, oder wenn dieses einen per Geofencing definierten Bereich verlässt, kann die Benzin-Zufuhr unterbrochen und das Fahrzeug so gestoppt werden. Der GPS-Tracker MV720 wird auf Alibaba, eBay, Amazon etc. für kleines Geld angeboten – ich habe Nachfolgemodelle für 20 bis 25 Euro gesehen.
Gemäß obigem Tweet wird dieser Tracker sehr häufig in Europa eingesetzt, wobei vor allem Fahrzeuge aus Osteuropa damit ausgestattet sind. In Nordamerika und Kanada scheint er weniger verbreitet zu sein.
6 Schwachstellen, die US-CISA warnt
Sicherheitsforscher von bitsight.com sind bei der Analyse des MiCODUS GPS-Tracker MV720 aber auf sechs fette Schwachstellen (CVE-2022-2107; CVE-2022-2141; CVE-2022-2199; CVE-2022-34150; und CVE-2022-33944) gestoßen, die von fest-kodierten Zugangsdaten über fehlerhafte Authentifizierung bis hin zu Möglichkeiten zum Umgehen der Authentifizierung beim Zugriff über eine App reichen. Die Sicherheitsforscher von BitSight haben MiCODUS im September 2021 kontaktiert und die Schwachstellen gemeldet. MiCODUS hat aber nichts unternommen, um diese Schwachstellen per Update zu beseitigen.
Nachdem die Kontaktversuche von BitSight mit MiCODUS ergebnislos blieben, haben die Sicherheitsforscher die US-Behörde Cybersecurity & Infrastructure Security Agency (CISA) kontaktiert und im Rahmen einer verantwortungsvollen Offenlegung das Dokument Critical Vulnerabilities Discovered in Popular Automotive GPS Tracking Device (MiCODUS MV720) veröffentlicht. Dort werden die Schwachstellen im Detail beschrieben.
Anzeige
Gleichzeitig gab es von der CISA zum 19. Juli 2022 eine Sicherheitswarnung icsa-22-200-01 und diesen Hinweis mit einer Verlinkung auf diese Pressemitteilung von BitSight. Besitzern von Fahrzeugen, die diesen Tracker eingebaut haben, sollten den MV720 baldmöglichst entfernen und ggf. durch andere GPS-Tracker, die sicher sind, ersetzen. (via Techchrunch)
2015
